Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:EX シリーズ スイッチ上の MPLS CCC を介した MACsec の設定

この例では、MACsec が、あるサイトのユーザーから別のサイトのユーザーに移動する機密性の高いトラフィックを、基本的な MPLS CCC を介して保護する方法を示しています。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • MPLS ネットワークの PE およびプロバイダ スイッチとして使用される 3 台の EX4550 スイッチ

  • CE スイッチとして使用される EX4550 スイッチ 1 台で、サイト A を MPLS ネットワークに接続

  • サイト B を MPLS ネットワークに接続する CE スイッチとして使用される SFP+ MACsec アップリンク モジュールを設置した EX4200 スイッチ 1 台

  • MPLS ネットワーク(PE1、PE2、またはプロバイダ スイッチ)内のすべての EX4550 スイッチで実行されている Junos OS リリース 12.2R1 以降

  • Junos OS リリース 13.2X50-D15(制御バージョン)以降は、サイト A の CE スイッチとサイト B の CE スイッチで実行されています。

    メモ:

    MACsec を有効にするには、管理されたバージョンのジュニパーネットワークス Junos オペレーティング システム(Junos OS)ソフトウェアをダウンロードする必要があります。MACsecソフトウェアのサポートは、デフォルトでスイッチにインストールされているJunos OSソフトウェアの国内バージョンでは使用できません。Junos OSソフトウェアの制御バージョンには、Junos OSの国内バージョンで利用可能なすべての機能が含まれています。また、MACsecもサポートしています。MACsec ソフトウェア要件の詳細については、 MACsec(Media Access Control Security) についてを参照してください。

  • サイトAのCEスイッチとサイトBのCEスイッチにインストールされたMACsec機能ライセンス

    メモ:

    MACsec のソフトウェア ライセンスを購入するには、ジュニパーネットワークスの営業担当者(https://www.juniper.net/us/en/contact-us/sales-offices)にお問い合わせください。ジュニパーネットワークスの営業担当者が、機能ライセンス ファイルとライセンス キーを提供します。スイッチのシャーシ シリアル番号の入力を求められます。または show chassis hardware コマンドを実行してシリアル番号をshow virtual-chassis取得できます。

概要とトポロジー

この例では、財務上機密性の高い企業データは、サイト A のユーザーとサイト B のユーザー間で送信されることが多いです。同社は、サイト A のユーザーからサイト B のユーザーに移動するすべてのネットワーク トラフィックの安全性が高く、攻撃者が表示または破損できないようにしたいと考えています。同社は、MACsecが提供する業界標準のレイヤー2セキュリティを使用しています。これにより、暗号化を提供して、攻撃者がデータを表示できないようにし、送信データが破損していないことを確認し、サイトを接続するMPLSクラウドを介してCCC上を移動するすべてのトラフィックを保護します。VLAN は両方のサイトで設定され、2 人のユーザー間を移動するトラフィックが MACsec で保護された CCC を介してサイトを通過するようにします。

この例の MPLS ネットワークには、PE1 と PE2 という 2 つのプロバイダ エッジ(PE)スイッチと、1 つのプロバイダ(トランジット)スイッチが含まれています。PE1 はサイト A のカスタマー エッジ(CE)スイッチを MPLS ネットワークに接続し、PE2 はサイト B の CE スイッチを MPLS ネットワークに接続します。MACsec は、サイト A とサイト B の CE スイッチを接続する CCC で有効になり、CCC 経由でサイト間を移動するトラフィックを保護します。ユーザーと CE スイッチを接続するインターフェイス、サイト A の CE スイッチのインターフェイス ge-0/0/0、サイト B の CE スイッチのインターフェイス ge-0/0/2、および CE スイッチを MPLS クラウドに接続するインターフェイス(サイト A CE スイッチの ge-0/0/0、サイト B CE スイッチの xe-0/1/0)を含む VLAN。 は、ユーザー間のすべてのトラフィックを MACsec で保護された CCC に誘導するために使用されます。

図 1 は、この例で使用するトポロジを示しています。MACsec で保護された CCC トラフィックには、図のラベルが MACsec CCC 付いています。

図 1:サイト A とサイト B の間の MPLS 図

表 1 は、このトポロジーにおける MPLS ネットワーク コンポーネントの概要を示しています。

表 2 は、このトポロジーで使用される MACsec 接続の関連付けの概要を示しています。MACsec は、リンクの両端にあるインターフェイスに接続アソシエーションを作成することで有効になります。MACsec は、リンク交換の各エンドのインターフェイスが事前共有キー(事前共有鍵が接続アソシエーションで定義されている)が MACsec のリンクを保護する場合に有効になります。

表 3 に、このトポロジで使用される VLAN の概要を示します。このトポロジーでは、VLAN を使用して、サイト A のユーザーからサイト B のユーザーにすべての通信を MACsec で保護された CCC に誘導します。

表 1:MPLS トポロジーのコンポーネント
コンポーネントの 説明

PE1

PE スイッチ。

lo0:

  • IP アドレス:130.1.1.1/32

  • OSPF および RSVP に参加します。

ge-0/0/0:

  • サイト A を MPLS ネットワークに接続するカスタマー エッジ インターフェイス。

  • CCCは、PE2上でxe-0/1/1に接続します。

ge-0/0/1:

  • PE1 をプロバイダ スイッチに接続するコア インターフェイス。

  • IP アドレス:10.1.5.2/24

  • OSPF、RSVP、MPLS に参加します。

プロバイダー

プロバイダ スイッチ。

lo0:

  • IP アドレス:130.1.1.2/32

  • OSPF および RSVP に参加します。

ge-0/0/10:

  • プロバイダ スイッチを PE1 に接続するコア インターフェイス。

  • IP アドレス:10.1.5.1/24

  • OSPF、RSVP、MPLS に参加します。

xe-0/0/0:

  • プロバイダ スイッチを PE2 に接続するコア インターフェイス。

  • IP アドレス:10.1.9.1/24

  • OSPF、RSVP、MPLS に参加します。

PE2

PE スイッチ。

lo0:

  • IP アドレス:130.1.1.3/32

  • OSPF および RSVP に参加します。

xe-0/1/0

  • PE2 をプロバイダ スイッチに接続するコア インターフェイス。

  • IP アドレス:10.1.9.2/24

  • OSPF、RSVP、MPLS に参加します。

xe-0/1/1

  • サイト B を MPLS ネットワークに接続するカスタマー エッジ インターフェイス。

  • CCCはPE1上でge-0/0/0に接続します。

lsp_to_pe2_xe1ラベルスイッチパス

PE1 から PE2 へのラベルスイッチ パス。

lsp_to_pe1_ge0ラベルスイッチパス

PE2 から PE1 へのラベルスイッチ パス。

表 2:MACsec 接続アソシエーションの概要
接続性アソシエーションの 説明

ccc-macsec

CCC 上の MACsec がサイト A とサイト B を接続する接続の関連付け。

接続の関連付けは、次のインターフェイスで有効になります。

  • サイト A CE スイッチ:ge-0/0/0

  • サイト B CE スイッチ:xe-0/1/0

表 3:VLAN の概要
VLAN の説明

macsec

サイト A のユーザーとサイト B のユーザー間のトラフィックを MACsec で保護された CCC に誘導する VLAN。

VLAN には、次のインターフェイスが含まれています。

  • サイト A CE スイッチ:ge-0/0/0

  • サイト A CE スイッチ:ge-0/0/1

  • サイト B CE スイッチ:xe-0/1/0

  • サイト B CE スイッチ:ge-0/0/2

MPLS の設定

このセクションでは、MPLS ネットワーク内の各スイッチで MPLS を設定する方法について説明します。

以下のセクションが含まれています。

スイッチ PE1 での MPLS の設定

CLI クイック設定

PE1 スイッチで MPLS 設定を迅速に設定するには、次のコマンドを使用します。

手順

スイッチ PE1 で MPLS を設定するには、次の手順に基づいて行います。

  1. トラフィック エンジニアリングを有効にして OSPF を設定します。

  2. ループバック アドレスとコア インターフェイスで OSPF を設定します。

  3. このスイッチ PE1 で、PE2 スイッチへの LSP を使用して MPLS を設定します。

  4. コア インターフェイスで MPLS を設定します。

  5. ループバック インターフェイスとコア インターフェイスで RSVP を設定します。

  6. ループバック インターフェイスとコア インターフェイスの IP アドレスを設定します。

  7. コア インターフェイス アドレスの論理ユニットで設定 family mpls します。

  8. カスタマー エッジ インターフェイスの論理ユニットを CCC として設定します。

  9. PE1 から PE2 へのインターフェイスベース CCC を設定します。

結果

設定の結果を表示します。

プロバイダ スイッチでの MPLS の設定

CLI クイック設定

プロバイダ スイッチで MPLS 設定を迅速に設定するには、次のコマンドを使用します。

手順

プロバイダ スイッチを設定するには、次の手順にしたがってください。

  1. トラフィック エンジニアリングを有効にして OSPF を設定します。

  2. ループバック インターフェイスとコア インターフェイスで OSPF を設定します。

  3. スイッチのコア インターフェイスで MPLS を設定します。

  4. ループバック インターフェイスとコア インターフェイスで RSVP を設定します。

  5. ループバック インターフェイスとコア インターフェイスの IP アドレスを設定します。

  6. コア インターフェイス アドレスの論理ユニットで設定 family mpls します。

  7. PE2 スイッチへの LSP を設定します。

結果

設定の結果を表示します。

スイッチ PE2 での MPLS の設定

CLI クイック設定

スイッチ PE2 で MPLS 設定を迅速に構成するには、次のコマンドを使用します。

手順

スイッチ PE2 を設定するには、次の手順に応えます。

  1. トラフィック エンジニアリングを有効にして OSPF を設定します。

  2. ループバック インターフェイスとコア インターフェイスで OSPF を設定します。

  3. このスイッチ(PE2)で、他の PE スイッチ(PE1)への LSP(ラベル スイッチ パス)を使用して MPLS を設定します。

  4. コア インターフェイスで MPLS を設定します。

  5. ループバック インターフェイスとコア インターフェイスで RSVP を設定します。

  6. ループバック インターフェイスとコア インターフェイスの IP アドレスを設定します。

  7. コア インターフェイスの論理ユニットで設定 family mpls します。

  8. カスタマー エッジ インターフェイスの論理ユニットを CCC として設定します。

  9. プライマリ エッジ スイッチ間のインターフェイスベース CCC を設定します。

結果

設定の結果を表示します。

MACsec の設定

このセクションでは、トポロジ内の各スイッチで MACsec を設定する方法について説明します。

以下のセクションが含まれています。

サイト B へのトラフィックを保護するためのサイト A CE スイッチでの MACsec の設定

CLI クイック設定

手順

この例では、財務的に重要なデータを交換することが多いユーザー間のトラフィックは、MPLS クラウドを介して CCC 上のサイト間で送信されます。MACsec は、MPLS PE スイッチに接続するサイト A およびサイト B CE スイッチ上のインターフェイスで MACsec 接続アソシエーションを設定することで、CCC で有効になります。接続アソシエーションは、MACsec セキュア接続を確立するために、一致する接続アソシエーション名(この例では)、ccc-macsec37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311一致する CKN(この例では)、228ef255aa23ff6729ee664acb66e91fCAK(この例では)を持つ必要があります。

CCC 接続サイト A とサイト B の MACsec を有効にするには、サイト A CE スイッチで次の手順を実行します。

  1. という名前 ccc-macsecの接続アソシエーションを作成し、MACsec セキュリティ モードを次のように static-cak設定します。

  2. CKN と CAK を設定して事前共有キーを作成します。

  3. PE1 スイッチに接続するインターフェイスに接続アソシエーションを割り当てます。

    これで、CCC の一端で接続アソシエーションを設定するための手順が完了します。MACsec は、一致する事前共有キーとの接続アソシエーションがリンクの反対側の端で有効になるまで有効にはなりません。この場合は、CCC のサイト B CE スイッチ上のインターフェイスです。サイト B CE スイッチで接続アソシエーションを設定するプロセスについては、次のセクションで説明します。

結果

設定の結果を表示します。

サイト A へのトラフィックを保護するためのサイト B CE スイッチでの MACsec の設定

CLI クイック設定

手順

トラフィックは、CCC を使用して MPLS ネットワークを介してサイト B からサイト A に移動します。MACsec は、MPLS PE スイッチに接続するサイト A およびサイト B CE スイッチ上のインターフェイスで MACsec 接続アソシエーションを設定することで、CCC で有効になります。接続アソシエーションは、MACsec セキュア接続を確立するために、一致する接続アソシエーション名(この例では、)、 ccc-macsec一致する CKN(37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、および一致する CAK(228ef255aa23ff6729ee664acb66e91f)を持つ必要があります。

サイト B とサイト A を接続する CCC で MACsec を有効にするには、サイト B CE スイッチで次の手順を実行します。

  1. という名前 ccc-macsecの接続アソシエーションを作成し、MACsec セキュリティ モードを次のように static-cak設定します。

  2. CKN と CAK を設定して事前共有キーを作成します。

  3. スイッチ PE2 に接続するインターフェイスに接続アソシエーションを割り当てます。

    事前共有キーが交換された後、この手順が完了した直後に、CCC に対して MACsec が有効になります。

結果

設定の結果を表示します。

MACsec で保護された CCC にトラフィックを誘導する VLAN の設定

このセクションでは、サイト A およびサイト B の CE スイッチで VLAN を設定する方法について説明します。VLAN の目的は、MACsec で保護したいトラフィックを MACsec で保護された CCC に誘導することです。

サイト A CE スイッチ上の MACsec CCC にトラフィックを誘導するための VLAN の設定

CLI クイック設定

手順

サイト A のユーザーから MACsec で保護された CCC にトラフィックを誘導する VLAN(VLAN ID 50)を作成するには、次の手順にしたがってください。

  1. ge-0/0/0インターフェイスをmacsec VLANに設定します。

  2. ge-0/0/2 インターフェイスを macsec VLAN に設定します。

  3. macsec VLAN ブロードキャスト ドメインの IP アドレスを作成します。

  4. macsec VLAN の VLAN タグ ID を 50 に設定します。

  5. レイヤー 3 インターフェイスを macsec VLAN に関連付けます。

結果

設定の結果を表示します。

サイト B CE スイッチ上の MACsec CCC にトラフィックを誘導するための VLAN の設定

CLI クイック設定

手順

サイト B のユーザーのトラフィックを MACsec で保護された CCC に誘導する VLAN(VLAN ID 50)を作成するには、次の手順にしたがってください。

  1. ge-0/0/2 インターフェイスを macsec VLAN に設定します。

  2. xe-0/1/0 インターフェイスを macsec VLAN に設定します。

  3. macsec VLAN ブロードキャスト ドメインの IP アドレスを作成します。

  4. macsec VLAN の VLAN タグ ID を 50 に設定します。

  5. レイヤー 3 インターフェイスを macsec VLAN に関連付けます。

結果

設定の結果を表示します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

MACsec接続の検証

目的

MACsec が CCC で動作していることを確認します。

アクション

show security macsec connectionsカスタマー エッジ(CE)スイッチの一方または両方でコマンドを入力します。

意味

および CA name: の出力はInterface name:、ccc-macsec 接続アソシエーションがインターフェイス ge-0/0/0 で動作していることを示しています。接続アソシエーションがインターフェイスで動作していない場合、出力は表示されません。

MACsec が CCC で動作していることを確認するために、他の show security macsec connections CE スイッチでコマンドを入力することもできます。

MACsec で保護されたトラフィックが CCC を通過していることを検証する

目的

CCC を通過するトラフィックが MACsec で保護されていることを確認します。

アクション

CE スイッチの show security macsec statistics 一方または両方でコマンドを入力します。

意味

Encrypted packets出力の下のSecure Channel transmitted行は、MACsec によって保護され、暗号化されたインターフェイスからパケットが送信されるたびに増加します。出力はEncrypted packets、9784 個の暗号化および保護されたパケットがインターフェイス ge-0/0/0 から送信されたことを示しています。そのため、MACsec で保護されたトラフィックはインターフェイス ge-0/0/0 で送信されます。

出力の下のSecure Association received行はAccepted packets、MACsec 整合性チェックに合格したパケットがインターフェイスで受信されるたびに増加します。Decrypted bytes暗号化されたパケットをSecure Association received受信して復号化するたびに、出力の下の行が増加します。出力は、インターフェイス ge-0/0/0 で 9791 MACsec で保護されたパケットを受信し、それらのパケットからの2823555 バイトが正常に復号化されたことを示しています。したがって、MACsec で保護されたトラフィックはインターフェイス ge-0/0/0 で受信されます。

さらに検証を行うには、他の show security macsec statistics CE スイッチでコマンドを入力することもできます。

プロバイダ エッジおよびプロバイダ スイッチ インターフェイスで MPLS および CCC プロトコルが有効になっていることを検証する

目的

PE およびプロバイダ スイッチの正しいインターフェイスで MPLS が有効になっていることを確認します。

アクション

show interfaces terse PE スイッチとプロバイダ スイッチの両方でコマンドを入力します。

意味

この出力は、MPLS プロトコルが MPLS トラフィックを通過するプロバイダ スイッチ インターフェイス(xe-0/0/0 および ge-0/0/10)と、MPLS トラフィックを通過する PE スイッチ インターフェイス(PE1 スイッチ上のインターフェイス ge-0/0/1、PE2 スイッチ上のインターフェイス xe-0/1/0)で稼働していることを確認します。

また、出力は、CCC が CE スイッチに面した PE スイッチ インターフェイスで有効になっていることを確認します。これは、PE1 スイッチのインターフェイス ge-0/0/0 であり、PE2 スイッチのインターフェイス xe-0/1/1 です。

MPLS ラベル操作の検証

目的

CCC の先頭として使用されているインターフェイスと、MPLS パケットをネクスト ホップにプッシュするために使用されているインターフェイスを確認します。

アクション

PE スイッチの show route forwarding-table family mpls 1 つまたは両方を入力します。

意味

この出力は、CCC がインターフェイス ge-0/0/0.0 で設定されていることを確認します。スイッチは ge-0/0/1.0 でイングレス トラフィックを受信し、ラベル 299952をパケットにプッシュし、インターフェイス ge-0/0/1.0 を介してスイッチから出ます。出力は、スイッチがラベル 299856を持つ MPLS パケットを受信すると、ラベルをポップして、インターフェイス ge-0/0/0.0 を介してパケットを送信することも示しています。

MPLS ラベル操作をさらに検証するために、もう一方の show route forwarding-table family mpls PE スイッチを入力します。

MPLS CCC のステータスの検証

目的

MPLS CCC が動作していることを確認します。

アクション

PE スイッチで show connections コマンドを入力します。

コマンドは show connections 、CCC 接続の状態を表示します。この出力は、CCC インターフェイスとそれに関連付けられた送受信 LSP が Up 両方の PE スイッチ上にあるかどうかを確認します。

OSPF 運用の検証

目的

OSPF が実行されていることを確認します。

アクション

show ospf neighborプロバイダまたは PE スイッチのコマンドを入力し、出力を確認しますState

意味

出力は State Full OSPF を使用するすべてのインターフェイス上にあります。そのため、OSPF は動作しています。

OSPF をさらに検証するには、プロバイダ スイッチに加えて PE スイッチでコマンドを入力 show ospf neighbor します。

RSVP セッションのステータスの検証

目的

RSVP セッションのステータスを確認します。

アクション

コマンドを show rsvp session 入力し、各 RSVP セッションの状態が稼働していることを確認します。

意味

UpすべてのState接続を対象としているため、RSVP は正常に動作しています。

さらに検証を行うには、プロバイダ スイッチに加えて PE スイッチでを入力 show rsvp session します。